DNS-Verwirrung (Firewall-Einstellungen/ Unbound DNS)

Also ich steig nicht mehr durch…

Hintergrund: andauernd Probleme mit dem Ausrollen von Gruppenrichtlinien, anscheinend DNS-Probleme, Fehlermeldung auf Clients z. B. „Fehler beim Regitrieren der Hostressourceneinträge…“

Unser Setup: LMN 7.1 auf Server an 10.32.1.1, interne Domäne ungleich externe Domäne, Webproxy mit SSO nachträglich eingerichtet, läuft jetzt aber. Gem. der Erklärung hier OPNSense: Welche Einstellungen bei DNS-Server? - #27 von garblixa soll unser Server als primärer DNS-Server fungieren und hat als DNS forwarder korrekt die Firewall eingetragen, die dann wiederum per Unbound DNS Abfragen aus dem Cache oder von den Root Nameserven aus beantwortet.

Folgende Punkte verwirren mich und ich würde euch bitten mir die Einstellungen in der Firewall zu bestätigen zbw. zu korrigieren:

  • System → Einstellungen → Allgemein → DNS-Server: Hier ist nur der Server eingetragen, sonst nichts. In der Dokumentation zum Einrichten der Firewall („Install-from-scratch“ → „Basis-Konfiguration der Firewall“) steht, man solle die WAN-Schnittstelle als Primary DNS-Server eintragen. Bringe ich da was durcheinander oder widerspricht sich das?
  • Ebenfalls in der Doku ist beim Override kein Haken gesetzt, in meiner aktuellen Konfiguration sitzt der Haken bei „Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN“. Was ist richtig?
  • Ebenfalls unter System → Einstellungen → Allgemein habe ich den Haken bei „Verwenden Sie den lokalen DNS-Dienst nicht als Nameserver für dieses System“ rausgenommen, damit das erstellen der Schlüsseltabellen für das SSO funktionierte. Hier OPNSense: Welche Einstellungen bei DNS-Server? - #13 von garblixa wird wiederum gesagt, der Haken müsse rein??
  • Dienste → Unbound DNS → Allgemein: Haken bei „Aktiviere DNSSEC Unterstützung“ rein oder raus?
  • Dienste → Unbound DNS → Überbrückung: je ein Eintrag bei Host-Überschreibungen (Server) und Domainüberschreibung (unsere Domäne) korrekt?
  • Dienste → Unbound DNS → Query Forwarding: Kein Haken bei Use System Nameservers korrekt?

Und noch eine kleine Frage am Rande: Könnte man den Unbound DNS auch deaktivieren oder ist dieser essentiell für das Zusammenspiel DNS/SSO?

Vielen Dank schon mal für jede Antwort und viele Grüße

Lars